home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / n_z / upi1_3.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  16.8 KB  |  294 lines
  1.  (*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)
  2.  (*)                                                                        (*)
  3.  (*)  The Lost Avenger And United Phreaker's Incorporated Proudly Presents  (*)
  4.  (*)                                                                        (*)
  5.  (*)                   UPi Newsletter Volume #1, Issue #3                   (*)
  6.  (*)                                                                        (*)
  7.  (*)      What Corporate Users Should Know About Data Network Security      (*)
  8.  (*)                                                                        (*)
  9.  (*)                  Copyright 1991 - All Rights Reserved                  (*)
  10.  (*)                                                                        (*)
  11.  (*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)(*)
  12.  
  13.     This article was originally published in Telecommunications - North America
  14. Edition May 1990.  This article was republished without permission.
  15.  
  16.           What Corporate Users Should Know About Data Network Security
  17.  
  18.                               By Stephen T. Irwin
  19.  
  20.     As network security becomes more critical, new approaches to preventing
  21. unauthorized use are evolving.  Which kind of system is right for you needs?
  22.  
  23.   ----------------------------------------------------------------------------
  24.  
  25.     Sometime late night last year, hackers repeatedly broke into the network of
  26. the National Aeronautics And Space Administration (NASA) (TLA: Fucking right!)
  27. and helped themselves to free telephone service from one of the nation's most
  28. technically sophisticated agencies.  Whether the purloined long-distance
  29. charges totaled over $12 million (TLA: Hmm, I think that's a little too high of
  30. a estimate), as reported in the Houston Chronicle, or "only" $10,000 (TLA:
  31. Naa!, I don't think that is accurate either), as NASA estimates, cannot be
  32. determined.  In an alarming admission of its inability to monitor access to the
  33. highly sensitive network, NASA says that it does not know exactly how much was
  34. illegally charged to the agency.
  35.  
  36.     The break-in NASA is just one in a series of many such incidents that have
  37. brought into sharp relief the problem of protecting computer networks against
  38. theft and damage by unauthorized users.  A recent government report, "Computers
  39. at Risk," stated that the nation's "computer and communications systems are
  40. vulnerable to potentially catastrophic security breaches..."  Experts estimate
  41. that computer crime costs American business millions of dollars a year.
  42.  
  43.     In response to this threat, vendors have devised a variety of network
  44. access control devices designed to limit access to host computers.  Available
  45. security systems fall into five major categories.  They are:
  46.  
  47.     o    host resident-based security software (TLA: No big deal.....easy to
  48.          get though)
  49.  
  50.     o    encryption devices that encode the data before transmission and decode
  51.          it upon arrival at it destination (TLA: Ahh, ok this isn't too hard.
  52.          They is a ways to get by this but is hard to come by)
  53.  
  54.     o    call-back systems that call-back preprogrammed phone numbers (TLA:
  55.          again no problem here to get by this security feature)
  56.  
  57.     o    handheld password generators (TLA: It's hard to say anything about
  58.          this one as I don't have much information on this type of security)
  59.  
  60.     o    physical token or magnetic cards that are actually inserted into the
  61.          remote computer or terminal and "read."  (TLA:  This sucks you have to
  62.          be right at the terminal or PC in order to access this.  But kind of
  63.          stupid to since you can loose you key or card and then you screwed)
  64.  
  65.     These systems have advantages and disadvantages that must be weighed
  66. carefully by the telecom manager in light of the security needs of his or her
  67. company's computer system and the price/performance trade-offs of each
  68. solution.  What follows is an examination of the leading security methods,
  69. analyzing their advantages, disadvantages, and cost-effectiveness.
  70.  
  71. Host Computer Security Software
  72.  
  73.     Resident on the host computer, this method utilizes a password system that
  74. is relatively east to use - which is simultaneously its biggest advantage and
  75. disadvantage.  The user at the remote site must first enter his or her computer
  76. the password, which is then transmitted through to the security software on the
  77. host.  if incorrect, the password is rejected, and the remote user is blocked
  78. from further access.
  79.  
  80.     In theory, a password system is relatively secure.  In practice, it is
  81. highly vulnerable approach.  Passwords are generally widely available among the
  82. staff (in some cases, employees even tape the password to the side if their
  83. computer).  It is a simple matter for outsiders (or former employees) to obtain
  84. a password from firebds within the company and break into the system, resulting
  85. in theft of information or damage to data.
  86.  
  87.     Depending on the specific package utilized, hostbased computer software can
  88. be expensive and timeconsuming to install, and can tie up the system
  89. administrator's time.  If a password system is selected or already in use, it
  90. important to change the password at least once a month - preferably one a week.
  91. Keep in mind, however, that passwords are child's play for computer criminals
  92. (TLA: Hehe, like me) - particularly if the password is an actual work rather
  93. than an arbitrary string or letters and numbers.  Computer thieves use simple
  94. spelling checkers to randomly generate almost an infinite number of words until
  95. they finally break in.
  96.  
  97. (TLA: I have noticed for this type of security method that some accounts on a
  98. system have no passwords at all which means that the system is open to hackers.
  99. There is also the possibility that you can get into the system using the system
  100. default passwords (if there is any).  Also, I have noticed that some account
  101. use personal information for the passwords or a lame number/word combination
  102. too.  For example 1234 or the account name as the password or the guys real
  103. name for the password.  So seriously that really puts the type of system method
  104. down the drain as for reliable and secure.)
  105.  
  106. Encryption
  107.  
  108.     The encryption method generates an unreadable version of the data stream
  109. and is generally used when transmitting highly sensitive data, such as
  110. financial transfers between banks and other institutions.  Most commercially
  111. available devices utilize the Data Encryption Standard (DES) algorithm to
  112. encrypt data.  Most banks, however, use a MAC system of encryption in which the
  113. information is transmitted in readable form.  Included with that information is
  114. transmitted in readable form.  Included with that information is an encrypted
  115. message - based on the information transmitted - which will be incorrect if the
  116. information is changed or intercepted in any way.  In other words, even if
  117. someone does break into the system and transforms a $1000 credit into $1
  118. million, the interference will be detected.
  119.  
  120.     Encryption systems are available as hardware, software, or a combination of
  121. the two.  While the encrypted information itself is highly secure, in order to
  122. crack the code, a data thief must have a great deal of time and access to some
  123. heavy computing power.  Thus, encryption methods of and by themselves do not
  124. necessarily ensure that the information is being accessed by an authorized
  125. user.  Nor can users who are authorized to access some information be barred
  126. from acc"session" keys.
  127.  
  128.     The identification of authorized users in an encryption system requires the
  129. use of additional methods (and expense), such as software resident on the host
  130. computer.  Encryption systems can also incur additional user of additional
  131. expense and administrative time as the needs of the system change.  System
  132. administrators must initially set up the data access between the designated
  133. encryptors - not to mention the synchronization headaches that occur when
  134. locations of the devices are changed from one site to another.  This can be a
  135. major problem when the system is expanded to accommodate a larger number of
  136. units and telephone lines.
  137.  
  138.     Also, to ensure the highest level of security, encryption devices are
  139. usually physically transported to the host site, where the "encryption key" is
  140. installed into the nonvolatile memory of the encryptor (or modem/encryptor) via
  141. the data port or a dedicated security port.  It is possible to send the key to
  142. remote devices through the mail - which, of course, can be intercepted by a
  143. determined data thief.
  144.  
  145.     If the system manager wants to permit access to remote users for a specific
  146. time or application, a random one-time-only session key can be exchanged.
  147. (TLA: Hmm, this is kind of hard to get by as the key can be changed at any time
  148. and making hacking it hard to do.)  A cryptographic fragment (based on the ANSI
  149. X-17 protocol) is generated, sent to the remote user's modem or encryptor
  150. device, used for the duration of the transmission, and the becomes invalid.
  151.  
  152. (TLA: Well as for type of security I find that it's kind of hard to get by unle
  153. you have the right decryption code.  Which for the Data Encryption Standard
  154. (DES) method is virtually impossible to get as there is hundreds of
  155. possibilities for the code.  But then again nothing is impossible when you are
  156. a hacker.....hehe)
  157.  
  158. Call-Back
  159.  
  160.     The highly publicized, sometimes spectacular computer break-ins in the
  161. 1980s fueled the development of the call-back system.  Today, the majority of
  162. the network security devices in the market are call-back systems.  They work in
  163. the following way: when the remote user dials in, the call-back unit intercept
  164. the call.  These units can be configured on either the analog or digital side
  165. of the host modem.  The user user then inputs a code or access number, which
  166. the call-back unit checks against its library of authorized users.  The host
  167. computer then calls back the user at an authorized phone number, the user
  168. signals back and is allowed access to the computer.
  169.  
  170.     A variety of call-back systems can be put into place.  Some systems allow
  171. users to enter a variety of phone numbers so that they can access the host
  172. computer from several sites (a type of "roaming" call-back).  Some systems
  173. support a secure call-in mode whereby the caller enters an access code and is
  174. then passed directly to the host computer.  Most systems incorporated a type of
  175. automatic disconnect after several unsuccessful attempt have been made at
  176. entry.
  177.  
  178.     Another feature of some call-back systems is a type of host port
  179. "deception" in which would-be illegal entrants cannot determine whether or not
  180. they have reached a modem.  Some devices user voice synthesis requesting a code
  181. in order to "veil" the modem tone and disconnect if the code is invalid.  (TLA:
  182. Come on a code??  That's the worst type of security method I have heard of.
  183. All you need to hack the code out is a program like Fuckin' Hacker or Code
  184. Thief.  Geeze how lame!)
  185.  
  186.     A well-designed call-back system, such as Millidyne's Auditor system,
  187. should support what is know as modem-interchanged control (MI-MIC), which
  188. actually changes the modem's way of operating.  This feature is advantageous
  189. because of the ability of a determined thief to piggyback onto phone calls in
  190. the instant when the remote user has hung up and the computer is calling back -
  191. an event known as "glare".  Computer criminals with their "demon dialer"
  192. programs capable of automatically redialing a number will eventually seize on
  193. the return phone calls by the computer and gain access.
  194.  
  195.     To be effective, MI-MIC must be supported by both the local and remote
  196. modems.  The call-back device, when calling back the designated number,
  197. actually seizes control of the remote modem by activating its MI-MIC Support
  198. leads.  The host modem then acts as if it had initiated rather than answered
  199. the call.  This serves two functions to foil would-be illegal entrants into
  200. the system.  First, the modems assume reverse transmit and recieve frequencies
  201. so that even if the illegal user gets a return call from the host modem,
  202. his/her modem will not be able to exchange handshake protocols with host modem.
  203. Second, because the remote modem does not answer by transmitting an answer-back
  204. tone, the illegal entrant will not be aware that there was another modem on the
  205. line.
  206.  
  207.     Call-back systems offer many advantages for the system administrator.  They
  208. are considered among the more secure systems on the market, and they are
  209. cheaper than using leased lines, which are generally not cost-effective for
  210. smaller companies.
  211.  
  212.     Most call-back systems have the ability to audit network activitproduce man
  213. uctivity, as well as security,
  214. can be improved with these call-back system reports.   Call-back systems are
  215. also less expensive than encryption devices, and are easier to maintain.
  216. According to some estimates, encryption can cost as much as 50 percent more
  217. than call-back devices.
  218.  
  219.     Call-back systems, however, have some disadvantages.  Telephone cost are
  220. high because the company assumes the cost when the system returns the call (and
  221. costs accelerate when data are transmitted for long stretches of time).
  222. However, many less expensive telecom options, such as WATS, or various MCI or
  223. Sprint services (TLA: How about AT&T?), can support call-back devices.  And for
  224. employees calling the computer from a remote location, utilizing the company's
  225. WATS line or other discount telecom service is cheaper than billing the call to
  226. a credit card.
  227.  
  228.     Call-back functions, however, cannot be supported if the call is
  229. intercepted by a hotel operator, office receptionist, or other human voice.
  230. (Call-back, however, can be accomplished if the PBX utilizes voice synthesis,
  231. allowing the call to be passed through after the extension is entered.)  While
  232. many call-back systems can be configured to allow a password and direct
  233. password through option to be utilizes for travelers, it is a less secure
  234. option.  (This of course assumes that the hotel is equipped with an RJ-11
  235. jack.)
  236.  
  237. (TLA:  Well it might not cost as much to go through a service such as MCI or
  238. Sprint or a WATS line but still is going to cost quite a lot anyways, if you
  239. have a lot of people logging on and then have the system has to call you back.
  240. As for the direct passwords and normal password they aren't that hard to get
  241. through.  As I mention earlier in this article there might be stupid people who
  242. don't even use one. - See above for more information -)
  243.  
  244. Other Options
  245.  
  246.         About the size of a pocket calculator, the portable password generator
  247. can be issued to authorized personnel when a call-back is either impossible or
  248. undesirables.  Each handheld password generator has a unique encryption key
  249. tied to the user's personal identification number (PIN).  In response to a
  250. challenge from the network access control device (after the user enters his/her
  251. PIN number), the handheld device - which shares the same encryption algorithm
  252. as the access control device - generates a unique password that the user then
  253. enters into his PC or terminal.  If correct, the user is passed through to the
  254. host computer.
  255.  
  256.     This system has advantages of enhanced security over a password-only
  257. system, yet requires only one phone call with no call-back in order to be
  258. effective.  This is a cost-effective, relatively inexpensive and secure
  259. network access system.
  260.  
  261.     Finally, token devices are physical "keys" or magnetic cards that enable
  262. users to make to make one call to the host system.  The caller accesses the
  263. host computer via a PC or terminal, and then, in order to obtain
  264. authentication, inserts a magnetic card or key into a reader or lock on the PC
  265. or terminal when asked to do so by the host computer.  If correct, the caller
  266. is passed directly to the computer.
  267.  
  268.     The token system's disadvantages is that if a card or token is lost or
  269. stolen, a data thief can easily access the network.  To maintain security, the
  270. lost tokens must be reported to the system administrator quickly so they can be
  271. immediately disabled.
  272.  
  273. QSD Mailbox (NUA: 208057040540): UPi
  274.  
  275. Member Listing
  276.  
  277. Founder/President: The Lost Avenger (416)
  278. Vice President: Scarlet Spirit (416)
  279. Couriers: The Serious One (819)
  280. Programmers: Logic Master (514)
  281. Writers: Dantesque (416), Master Of Gold (Argentina)
  282.  
  283. Node Listing
  284.  
  285. -------------------------------------------------------------------------------
  286. Node     BBS Name                 Area Baud Megs BBS         Sysop
  287. Number                            Code Rate      Program
  288. -------------------------------------------------------------------------------
  289. WHQ      The Violent Underground  416  2400   85 Pc Board    The Lost Avenger
  290. Node #1  The Shining Realm        416  2400   95 Telegard    Scarlet Spirit
  291. -------------------------------------------------------------------------------
  292.  
  293.  
  294.